Bursa’da orta ölçekli bir metal işleme firmasının BT sorumlusu geçen yıl şunu anlattı: fidye yazılımı sabah 03.00’te üretime bağlı sunucuları şifreledi, kimse 06.30’a kadar fark etmedi, o güne kadar da yazılı bir müdahale prosedürü yoktu. Üç gün üretim durdu. Sigortacı tazminat ödemedi çünkü olay kayıtları tutulmuyordu. Bu hikâye istisnai değil; Türkiye’de benzer ölçekteki şirketlerde sıkça karşılaşılan bir tablo. Asıl soru artık ‘saldırıya uğrar mıyız?’ değil, ‘uğradığımızda ne yapacağız?’ Siber dayanıklılık bu soruya verilen örgütsel yanıtın adı. Ve o yanıt, bir ekip olmadan kâğıt üzerinde kalır.
Siber güvenlik dünyasında son birkaç yılda yerleşen bir varsayım var: ihlal kaçınılmazdır. Önleme katmanları ne kadar güçlü olursa olsun, kararlı bir saldırgan veya içeriden bir hata sonunda bir kapı bulur. Bu varsayımı kabul etmek zayıflık değil, olgunluktur. Çünkü bu kabulden sonra organizasyon enerjisini yalnızca ‘içeri girmesinler’ savunmasına değil, ‘girdiklerinde ne kadar hızlı toparlarız’ sorusuna da yönlendirir. İşte bu noktada Olay Müdahale Ekibi (OME) — uluslararası literatürde CSIRT veya CERT olarak geçen yapı — kurumsal dayanıklılığın operasyonel çekirdeği haline gelir. Ekip olmadan prosedürler vardır belki, ama prosedürler baskı altında kendi kendini uygulamaz.
OME’nin yapısı kurumun büyüklüğüne göre değişir, ama temel roller sabittir. Olay koordinatörü, teknik analiz sorumlusu, iletişim sorumlusu ve yasal/uyumluluk bağlantı noktası — bu dört rol en küçük ekipte bile doldurulmalıdır. Türkiye’deki KOBİ gerçeğine bakıldığında, bu rollerin dört ayrı kişiyle değil, mevcut personelin çapraz yetkinlendirmesiyle karşılanması çoğunlukla tek gerçekçi seçenektir. Bir muhasebe yöneticisi iletişim sorumluluğunu üstlenebilir; bir sistem yöneticisi teknik analiz rolünü taşıyabilir. Önemli olan rollerin tanımlı ve sahiplenilmiş olmasıdır. Kriz anında ‘kim ne yapacak?’ sorusu soruluyorsa, ekip kurulmamış demektir.
Tatbikat disiplini, OME’yi kâğıt üzerindeki bir listeden gerçek bir kapasiteye dönüştüren şeydir. Masa başı tatbikatları (tabletop exercise) bu sürecin en erişilebilir başlangıç noktasıdır: gerçek sistemlere dokunmadan, senaryo üzerinden ekibin nasıl karar vereceği, kiminle iletişim kuracağı ve hangi sırayla adım atacağı tartışılır. Yılda en az iki kez yapılan bu tatbikatlar, prosedürlerdeki boşlukları stres altında değil, güvenli ortamda ortaya çıkarır. Türkiye’de bu alanda öne çıkan bir örnek vermek gerekirse, büyük ölçekli perakende zincirlerinin kart veri ihlali senaryolarını PCI-DSS uyumu kapsamında tatbikat olarak işlediği görülüyor. KOBİ’ler bu pratiği kendi ölçeğine indirgemekte gecikiyor; ama gecikmenin bedeli her geçen ay artıyor.
Kurtarma hedeflerinin tasarımı, OME çalışmalarının teknik omurgasını oluşturur. İki temel ölçüt burada belirleyicidir: RTO (Recovery Time Objective — hedef kurtarma süresi) ve RPO (Recovery Point Objective — kabul edilebilir veri kaybı noktası). Bu iki değer tanımlanmadan yedekleme sistemleri, felaket kurtarma altyapısı ve bulut yedekleme sözleşmeleri anlamlı biçimde değerlendirilemez. Bir e-ticaret firması için RTO dört saat ise, bu dört saati karşılayacak teknik altyapı ve insan kapasitesi önceden kurulmuş olmalıdır. Türkiye’de 2019 itibarıyla birçok KOBİ bu değerleri tanımlamamış durumda; dolayısıyla yedekleme altyapısı var ama gerçek kurtarma süresinin ne olduğu bilinmiyor. Bu, sigorta poliçesi satın alıp teminat kapsamını okumamak gibidir.
Bir karşı argümanı doğrudan ele almak gerekiyor: ‘Biz küçük bir firmayız, hedef değiliz.’ Bu yanılgı hâlâ yaygın. Fidye yazılımı saldırılarının önemli bir bölümü hedef seçmez; zayıf noktası olan herkese otomatik olarak yönelir. Türkiye’de 2018-2019 döneminde KOBİ’leri etkileyen siber olayların büyük çoğunluğu, hedefli saldırıdan değil, yamalanmamış sistemler veya zayıf parola politikasından kaynaklandı. Ölçek sizi korumaz; sizi koruyan hazırlıktır. OME kurmak için büyük bir BT bütçesi gerekmez: prosedür belgesi, rol tanımları, iletişim ağacı ve yılda iki tatbikat, birçok kurumun mevcut kaynağıyla karşılayabileceği bir başlangıç noktasıdır.
Siber dayanıklılık bir teknoloji projesi değil, bir örgütsel kapasite meselesidir. Teknoloji bu kapasiteyi destekler ama yaratmaz. OME, bir ihlal anında panik yerine protokol işletilmesini sağlayan yapıdır. Bunu kurmak için mükemmel bir an beklemeye gerek yok: bir sonraki fidye yazılımı dalgasından önce rol tanımlarını yapmak, ilk tatbikatı planlamak ve RTO/RPO değerlerini belirlemek yeterli bir başlangıçtır. Türkiye’deki KOBİ yöneticilerine somut öneri şudur: bu haftaki gündem maddeniz ‘OME kurulumu için ne gerekiyor?’ sorusu olsun. Cevabı bulmak, saldırı geldiğinde cevabı aramaktan her zaman daha ucuzdur.